Formjacking已超越勒索软件和挖矿攻击，成为2018年的顶级威胁

最近两年，供应链攻击已经成为最大网络威胁 。供应链攻击形式多样。可以是对合作伙伴公司的雇员进行网络钓鱼获取本公司登录凭证，比如近几年影响最重大的两起数据泄露：美国零售商塔吉特百货和美国人事管理局(OPM)数据泄露事件，就是经由合作公司失窃的登录凭证。也可以是往合法软件中植入恶意软件，比如著名的NotPetya勒索软件，就是乌克兰流行会计软件M.E.Doc被感染而引起的。英国国家网络安全中心(NCSC) 对供应链攻击的总结如下：

如果做得好的话，供应链攻击是很难被检测出来的，有时候甚至是完全不可能被发现的。网络监视能检测出异常或可疑行为，但依然难以确定安全漏洞是有意引入的（可能是作为后门），还是来自开发人员或制造商的无意疏忽，或者其实是为了证明有潜在的访问凭证被利用了。

不过赛门铁克（Symantec）公司最近发布了一份2018年顶级 威胁研究报告 ，供应链攻击无疑还是最大威胁，不过其中威力最大的还是Formjacking攻击。这种攻击思路非常简单：黑客并不使用可能被标记为恶意软件的自定义工具，而是使用已存在于设备上的合法工具，接管合法的系统进程，并在其内存空间运行恶意代码，这种方法也被称为“离地(living off the land)”攻击，这也就是为什么PowerShell脚本的使用比往年增加了十倍多的原因。

这份报告还显示，挖矿攻击次数也增加了4倍，不过随着加密货币的价格暴跌，对它们的攻击次数呈螺旋式下降，这促使攻击者转向其他攻击目标。另外，供应链攻击增加了78%，恶意powershell脚本增加100%，其中几乎一半的恶意电子邮件附件都是Office文件。

2018年最大威胁

在2018年期间，攻击者每月能够入侵4800多个网站，使用注入的JavaScript代码窃取电子商务网站用户的借记卡和信用卡等付款信息。

其中最引人注目的Formjacking攻击是针对英国航空公司(British Airways)和Ticketmaster的，但赛门铁克表示，使用这种技术的网络犯罪分子也从许多较小的在线零售商那里获得了大量非法收入，这些零售商正是通过门户网站接受用户的付款，这也正是供应链攻击的典型特征。

Formjacking是网络攻击者窃取信用卡信息和个人信息最高效的手段之一。简单来说，攻击者将恶意JavaScript代码植入电子商务网站，当消费者在购物表格中输入银行信息并选择支付时，恶意软件将会收集消费者的所有信息，包含 信用卡信息、用户姓名和邮寄地址等。最令人担心 的是，攻击者可能会使用偷盗的个人信息进行其他网络购买支付，还有可能将泄露的信息抛售给暗网上的其他网络罪犯。

哪些企业最容易成为受害者？赛门铁克调研了9月18日至20日这三天内拦截的1000例Formjacking攻击。数据显示全球57个网站受到入侵威胁。这些网站大局部属于在线零售网站，从小型的细分产品服务网站到大型零售电商，受到入侵威胁的范围十分宽泛，包含澳大利亚时装零售商、法国户外用品供应商、意大利健身机构、汽车零部件供应商、厨具电商和礼品定制网店等。

在Ticketmaster受到Formjacking攻击的案例中，Magecart网络犯罪组织使用供应链攻击入侵受害企业网站并更改支付页面上的代码。在供应链攻击中，攻击者利用大型企业的小型供应商企业的系统漏洞来入侵大型企业，让人防不胜防。

赛门铁克在2018年阻止了370多万次Formjacking攻击，其中100多万次发生在去年的10月到12月，因为每年从10月底开始，无论是中国的“双11”、“双12”，还是欧美,的“黑色星期五”或者Boxing Day，全球消费者都沉浸在购物的血拼中。统计每个月的情况，可以发现，5月份活动异常激增(仅当月就有55.6万次)，下半年活动总体呈上升趋势。

从另外一方面讲2018年的Formjacking攻击数量的增长也可以解释为加密货币价值的不断下降，这使得之前专注于网络挖掘的黑客转而窃取信用卡。根据统计， 2018年黑客通过窃取信用卡，总共获得数千万美元的收入。考虑到每一个窃取的信用卡都可以在地下黑市获得45美元的收入。如果黑客能够在每个目标网站窃取大约10张信用卡，他们能每月收入大约220万美元。

供应链和离地攻击也在整体增加

在2018年，供应链攻击的数量整体也在增加，增长了大约78%。此外，离地攻击是黑客进行攻击的主要手段，使他们在进行复杂攻击时不被察觉。

例如，恶意PowerShell脚本的使用增加了1000%，而这只是保守统计的结果。因为不法分子使用离地技术后，大量攻击是无法被检测到的。

一个非常常见的攻击场景是，攻击者使用Microsoft Office文档，其中包含专门设计的宏，它们专门用于运行PowerShell脚本，这些脚本将在受害者的计算机上下载并启动恶意载荷。

在恶意软件活动中，Office文件越来越多，恶意电子邮件通过URL将恶意软件发送到包含宏下载程序的Office文件。更确切地说，恶意Office文档占了恶意电子邮件附件的48％，相比2017年上升了5％。

赛门铁克每月会拦截11.5万个恶意PowerShell脚本，但这个数字连PowerShell总用量的1%都不到。这进一步说明为什么离地技术已经成为许多攻击者首选策略，因为这种攻击的隐蔽性太好了。

挖矿攻击和利用勒索软件的攻击呈螺旋式下降趋势

2018年下半年，所有加密货币的价格在同一时期暴跌，挖矿攻击行为迅速减少。赛门铁克去年拦截了6900万次挖矿攻击，是2017年拦截数量的4倍。然而，就整体上升趋势而言，从2018年1月到12月，挖矿攻击却活动下降了52%。

利用勒索软件的攻击数量也有所下降，同比下降约20%。不过企业受到的这方面攻击却没有减少，与2017年相比，企业受到的勒索软件攻击增加了12%。此外，根据赛门铁克的报告，2018勒索软件家族的更新次数和种类也越来越少了，这是一个明确的迹象，表明未来攻击者将大大减少对勒索软件的依赖，转向利用其它技术。

不过，尽管移动恶意软件感染的整体数量有所下降，移动勒索软件却在蓬勃发展，与2017年相比，感染数量增加了约30%。